ICS 35.020 L 78 DB6301 西 宁 市 地 方 标 准 DB 6301/T 2—2020 信息资源安全通用要求 2020 - 01 - 06 发布 西宁市市场监督管理局 2020 - 04 - 06 实施 发 布 DB6301/ T 2—2020 目 前 次 言 ........................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 共性安全要求 ...................................................................... 2 4.1 总则 ............................................................................ 2 4.2 密码技术要求 .................................................................... 2 4.3 主机及网络技术要求 .............................................................. 3 4.4 人员管理要求 .................................................................... 3 5 信息资源管理方安全要求 ............................................................ 3 5.1 服务器维护 .................................................................... 3 5.2 软件环境 ...................................................................... 4 5.3 安全事件处置要求 .............................................................. 4 6 信息资源提供方安全要求 ............................................................ 4 6.1 前置机网络管理安全要求 ........................................................ 4 6.2 信息资源提供安全技术要求 ...................................................... 4 7 信息资源使用方安全要求 ............................................................ 4 7.1 前置机网络安全要求 ............................................................ 4 7.2 信息资源使用技术安全要求 ...................................................... 5 I DB6301/ T 2—2020 前 言 本标准按照GB/T1.1-2009给出的规则起草。 本标准由西宁市大数据服务管理局提出。 本标准由西宁市市场监督管理局归口。 本标准起草单位: 西宁市大数据服务管理局、上海计算机软件技术开发中心、西宁大数据有限公司、 杭州数梦工场科技有限公司。 本标准主要起草人: 蔡立志、白万芳、谭梁、张莉君、王晓茹、王明亮、李启琴、洪凯、孙巍、高 岩、杨兴海。 II DB6301/ T 2—2020 信息资源安全通用要求 1 范围 本标准规定了信息资源共享交换平台在使用过程中应遵循的共性安全要求、信息资源管理方安全要 求、信息资源提供方安全要求、信息资源使用方安全要求。 本标准适用于信息资源共享交换平台建设方、信息资源共享交换平台运维方、信息资源使用方、信 息资源提供方及软件开发厂商等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2008 《信息系统安全等级保护基本要求》 3 术语和定义 下列术语和定义适用于本文件。 3.1 保密性 confidentiality 信息资源所具有的特性，即表示信息资源所达到的未提供或者泄露给非授权的个人或其他实体的程 度。即信息只为授权用户使用。 3.2 可用性 usability 数据或资源的特性，被授权实体按要求能访问和使用的数据源。 3.3 信息安全风险 risk of information security 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影 响。 3.4 安全措施 safety measures 保护资产、抵御脆弱性、降低安全事件的各种实践、规程及机制。 3.5 1 DB6301/ T 2—2020 信息资源 information resourse 各级政务部门及具有公共属性的企事业单位在生产、生活过程中产生或获取的，以一定形式记 录、保存的文件、资料、图表和数据等各类信息。 3.6 大数据 big data 具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构进行有效 处理的数据集。 3.7 信息资源共享交换平台 Information resource sharing and exchange platform 指将分散建设的若干应用信息系统进行整合，通过计算机网络构建的信息交换平台，使若干个应用 子系统进行信息/数据的传输及共享，建立中心数据库，完成信息资源的抽取、集中、加载、展现，构 造统一的信息资源处理和交换等大数据服务功能的软硬件集合。 3.8 信息主体 information subject 信息资源进行各项活动的组成单元，为各级政务部门及具有公共属性的企事业单位。 3.9 信息技术专员 information technology commissioner 与信息资源共享交换平台进行沟通、协调工作的人员。职责包括但不限于本部门前置机服务器的管 理、维护及信息资源传输。 3.10 前置机 front-end computer 为了便于信息资源采集、交换而在各信息主体专门安装的服务器，用于推送信息资源或者存储交换 过来的非本单位信息资源的计算机，通常指信息主体与信息资源共享交换平台联通的最前端服务器。 3.11 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。 4 共性安全要求 4.1 总则 信息资源提供方、使用方及管理方都应按照 GB/T 22239-2019《信息系统安全等级保护基本要求》 的要求，针对自主保护和重点保护原则的具体内容，都应遵守相关密码技术要求、网络技术要求及人 员、信息资源管理的具体要求。 2 DB6301/ T 2—2020 4.2 密码技术要求 信息资源提供方、使用方及管理方应遵循以下要求： a) 密码长度不少于10位； b) 密码由数字、标点、大小写字母和特殊符号组成，必须包含四种以上不同的类型，并具有必要 的组合复杂度，不应使用连续或相同数字、字母组合和其它易于破译的组合作为密码； c) 密码不应以任何形式的明文存储，不应以明文形式在电子邮件、传真中传输； d) 用户应定期（至少每季度一次）进行密码修改，并且同一密码不能反复使用。 4.3 主机及网络技术要求 信息资源提供方、使用方及管理方应遵循以下要求： a) 信息资源服务器（包括业务单位前置机服务器）不应使用属于个人或未授权的各类存储介质或 可移动的信息设备，如软盘、光盘、移动硬盘、U盘、笔记本电脑等； b) 所有接入信息资源共享交换平台网络的计算机均须保证安装有最新版本的防病毒软件及最新的 病毒库； c) 接入信息资源共享交换平台网络的计算机不应在电子政务外网与互联网之间交叉使用。信息主 体与信息资源共享交换平台对接需要在电子政务外网下使用，或采用专线接入方式与信息资源 共享信息资源共享交换平台网络互联； d) 接入信息资源共享交换平台网络的计算机应关闭与业务无关的端口，停止与业务无关的服务； e) 在条件允许范围内，信息主体应采用防火墙或者网闸等设备对前置机进行保护。 4.4 人员管理要求 人员管理应遵循以下要求： a) 各信息主体应在本单位至少设立1名信息技术专员，同时应加强信息安全规章制度的教育培训， 信息技术专员每年应进行至少一次安全培训； b) 未经授权，信息技术专员不得查询、修改、删除、新增信息资源，不得向第三方提供经信息共 享交换平台获取的信息资源； c) 信息技术专员应对各种工作密码保密，不对外提供和泄露，不盗用他人密码； d) 信息技术专员应签订保密协议，对信息资源和系统架构严格保密； e) 信息技术专员内部调动至其他岗位或离职时，做好信息资源对接的交接工作并报备至信息资源 共享交换平台管理部门。 4.5 信息资源备份要求 前置机信息资源保留至少一年以上，至少每季度进行一次全量备份。 5 信息资源管理方安全要求 5.1 服务器维护 服务器维护的目标是保证机房设备与信息安全，保障机房具有良好的运行环境和工作环境，具体如 下： a) 服务器管理员负责服务器的日常操作维护工作，确认前置机和信息资源共享交换平台之间信息 资源交换状态，应建立和保存服务器完整的技术文档和维护方案； 3 DB6301/ T 2—2020 b) 服务器按计划执行运维任务影响信息资源使用时，应提前24小时通知信息资源使用方做好相关 处理；意外情况影响信息资源使用时，在发现意外情况后，2小时内通知信息资源使用方做好相 关处理； c) 信息资源共享交换平台系统管理员应每天对信息资源交换情